用漏洞掃描工具掃描了我的阿里云主機，以下是體檢報告結果。這是對119.23.74.132阿里云主機系統掃描后的結果。

1、限制root用戶遠程登錄：

（1）執行備份： ?cp ? -p ? /etc/ssh/sshd_config ? ?/etc/ssh/sshd_config_bak

（2）新建一個普通用戶并且設置高強度密碼（防止設備上只存在root用戶可用時，無法遠程訪問）

#useradd ? username

#passwd ? ?username

（3）禁止root用戶遠程登錄系統

vim /etc/ssh/sshd_confid ?修改PermitRootLogin的值為no并且去掉注釋；

service sshd restart ?重啟sshd服務

（4）修改ssh協議版本

vim /etc/ssh/sshd_confid ?修改Protocol的值為2

2、文件與目錄缺省權限控制：

（1）執行備份： cp ?/etc/profile ? /etc/profile.bak

（2）編輯文件/etc/profile ?在文件末尾添加 umask ?027

（3）執行以下命令讓配置生效： ?source ? /etc/profile

3、登錄超時時間限制：

檢測步驟： ?cat ?/etc/profile ?|grep ?-i ? TMOUT ?如果輸出300秒就是合格，否則不合格

（1）執行備份： cp ?-p ?/etc/profile ? /etc/profie_bak

（2）在/etc/profile 文件增加以下兩行（如果存在則修改，否則手動添加）

# vim ?/etc/profile

TIMOUT=300

export ?TMOUT

4、關閉Telnet服務

（1）執行備份

（2）編輯文件 ?/etc/xinetd.d/telnet ? /etc/xinetd.d/etlnet_bak ?把disable項目改為yes

（3）service ?xinetd ? restart

（4）開啟sshd服務

使用Telnet這個用來訪問遠程計算機的TCP/IP協議以控制你的網絡設備，相當于在離開某個建筑時大喊你的用戶名和口令。很快會有人進行監聽，并且他們會利用你安全意識的缺乏。傳統的網絡服務程序如：ftp、pop和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。

SSH是替代Telnet和其他遠程控制臺管理應用程序的行業標準。SSH命令是加密的并以幾種方式進行保密。

在使用SSH的時候，一個數字證書將認證客戶端(你的工作站)和服務器(你的網絡設備)之間的連接，并加密受保護的口令。SSH1使用RSA加密密鑰，SSH2使用數字簽名算法(DSA)密鑰保護連接和認證。加密算法包括Blowfish，數據加密標準(DES)，以及三重DES(3DES)。SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數據包監聽。

通過使用SSH把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的“通道”。